Unter Pfsense ist es ganz einfach möglich diverse Clients komplett vom Proxy auszuschließen.
Das geht leider bei OPNsense nicht.
Unter IOS kann man zwar auch ein Zertifikat für Safari installieren, aber alle IOS-Apps wie Youtube usw funktionieren dann leider trotzdem nicht. Dafür konnte ich nirgends im Netz eine Lösung finden.
Auch gibt Apple hier keine Informationen zum Thema Apps und Proxy öffentlich bekannt.
Kennt jemand eine Möglichkeit wie man mit einfachenn Mitteln den Proxy für diverse Clients komplett deaktivieren kann bzw gewollt umgehn kann?
Ich wäre sehr dankbar für einen Lösungsweg!
Danke!
Moin,
eine Möglichkeit wäre anhand der MAC-Adressen feste IP-Leases zu vergeben und für diese IP's dann ein eigenes FW-Ruleset am Proxy vorbei einzurichten.
Ist natürlich keine optimale Lösung, aber wenn es nur um wenige bekannte Geräte geht durchaus zu handhaben.
So hab ich bei mir geregelt um unseren 2 Smartphones im WLAN vollen WhatsApp-Zugriff zu ermöglichen.
Gruß
Dirk
Quote from: monstermania on December 17, 2017, 09:18:50 AM
Moin,
eine Möglichkeit wäre anhand der MAC-Adressen feste IP-Leases zu vergeben und für diese IP's dann ein eigenes FW-Ruleset am Proxy vorbei einzurichten.
Ist natürlich keine optimale Lösung, aber wenn es nur um wenige bekannte Geräte geht durchaus zu handhaben.
So hab ich bei mir geregelt um unseren 2 Smartphones im WLAN vollen WhatsApp-Zugriff zu ermöglichen.
Gruß
Dirk
Ok. Also es würde nur mit einer FW Regel funktionieren.
Da ich in diesem Bereich mich gerade erst ein wenig vortaste würde ich dich bitten mir vielleicht ein wenig beim erstellen der Regel zu helfen.
Das heißt also:
Ich mache am gewünschten Interface eine Regel die ich über alle stelle. Also als oberste Regel?
Dann nehme ich als source einen alias bei dem ich alle Clients hinterlege?
Was definiere ich als Source Port?
Und was muss in die Destination und den destination port eingetragen werden?
Könntest du mir ein wenig helfen?
Vielen Dank!
Quote from: opnsense_user12123 on December 17, 2017, 10:52:35 AM
Dann nehme ich als source einen alias bei dem ich alle Clients hinterlege?
Idealerweise ja
Quote from: opnsense_user12123 on December 17, 2017, 10:52:35 AM
Was definiere ich als Source Port?
any (jeglicher)
Quote from: opnsense_user12123 on December 17, 2017, 10:52:35 AM
Und was muss in die Destination und den destination port eingetragen werden?
any und tcp/443
Quote from: fabian on December 17, 2017, 11:00:30 AM
Quote from: opnsense_user12123 on December 17, 2017, 10:52:35 AM
Dann nehme ich als source einen alias bei dem ich alle Clients hinterlege?
Idealerweise ja
Quote from: opnsense_user12123 on December 17, 2017, 10:52:35 AM
Was definiere ich als Source Port?
any (jeglicher)
Quote from: opnsense_user12123 on December 17, 2017, 10:52:35 AM
Und was muss in die Destination und den destination port eingetragen werden?
any und tcp/443
Ok, vielen Dank für die Unterstützung. Werde das mal ausprobieren und gebe dann wieder Feedback.
Quote from: fabian on December 17, 2017, 11:00:30 AM
Quote from: opnsense_user12123 on December 17, 2017, 10:52:35 AM
Dann nehme ich als source einen alias bei dem ich alle Clients hinterlege?
Idealerweise ja
Quote from: opnsense_user12123 on December 17, 2017, 10:52:35 AM
Was definiere ich als Source Port?
any (jeglicher)
Quote from: opnsense_user12123 on December 17, 2017, 10:52:35 AM
Und was muss in die Destination und den destination port eingetragen werden?
any und tcp/443
Was wäre den jetzt der Unterschied zur nordr Regel?
Welche sollten man eher verwenden?
Danke nochmals
Quote from: opnsense_user12123 on December 17, 2017, 12:02:38 PM
Was wäre den jetzt der Unterschied zur nordr Regel?
Welche sollten man eher verwenden?
das ist die no-rdr-Regel. Die Alternative ist bei der quelle folgendes anzugeben:
quell-ip:
! hostalias
wobei der die IPs von allen Hosts enthält, die nicht umgeleitet werden sollen.
Das heißt ich Klone die https Regel vom Proxy und wähle no rdr aus und setze die Regel nach ganz oben.
Bei Source wähle ich die ip's bzw den alias der Clients aus und als destination port wähle ich 443 und als Host any?
Am I Right ?
ja
Vielen vielen dank für die Unterstützung.
Quote from: fabian on December 17, 2017, 12:05:36 PM
Quote from: opnsense_user12123 on December 17, 2017, 12:02:38 PM
Was wäre den jetzt der Unterschied zur nordr Regel?
Welche sollten man eher verwenden?
das ist die no-rdr-Regel. Die Alternative ist bei der quelle folgendes anzugeben:
quell-ip:
! hostalias
wobei der die IPs von allen Hosts enthält, die nicht umgeleitet werden sollen.
Ok. habe jetzt das Port Forwarding und die Firewall Rules geändert bzw vom Original so wie auf der OPNSENSE Tuturial Seite empfohlen, angepasst.
Alles funktioniert wie gewünscht. Irgendwelche sicherheitstechnische Einwände ? (siehe Screenshots)